Isso é algo que eu me pergunto há muito tempo. Se eu estiver usando o Gmail por meio de https, alguém pode ler minhas conversas e e-mails de mensagens instantâneas se eu usar uma rede sem fio desprotegida? Eu suponho que os dados seriam seguros, uma vez que está usando uma conexão criptografada. Há mais alguma coisa a considerar?
Eu acho que alguém ainda pode realizar um ataque man-in-the-middle se você estiver em wi-fi desprotegido (ou mesmo protegido wifi, se acontecer de você encontrar uma maneira de ser permitido). É por isso que você precisa sempre verificar se a conexão SSL está verde na barra de endereços e / ou verificar manualmente se o certificado é válido ao usar o wifi não protegido. Supondo que o certificado esteja correto, o SSL deve proteger seus dados.
Eu acho que seu raciocínio está correto; para ler suas informações, elas precisariam descriptografar o SSL. Haveria apenas um nível de criptografia a menos para que eles quebrassem, a fim de acessar os dados criptografados.
Contanto que o DNS e os servidores raiz do SSL do seu navegador sejam válidos, um invasor na mesma rede sem fio não segura que você não pode acessar o canal SSL com um servidor.
O DNS é a grande vulnerabilidade nessa área - se a cadeia de servidores do DNS for infectada por um invasor, pode fazer com que todos os tipos de coisas pareçam estar seguras, mas, na verdade, sejam inseguras.
Mas se a sua pergunta é se um hacker aleatório em um aeroporto ou loja de café vai conseguir invadir seu canal SSL para o seu banco, a resposta certamente não é.
De qualquer forma, lembre-se de que apenas os dados dentro do fluxo http são criptografados, mas os URLs não são, então talvez alguém possa se passar por você.
Você também precisa considerar que as páginas iniciais não SSL não estão protegidas.
A maioria dos sites protegidos que você visita o redirecionará de um http para um URL https quando você for para a página de login, mas em uma rede não confiável, você pode ser enviado para outro lugar por um homem no meio.
Considere que você pode visitar o link , que normalmente o redireciona para link , mas na rede insegura é definido em vez de enviá-lo para link em seu lugar. Você provavelmente não notará, mesmo que tenha tempo para verificar e o navegador mostrará tudo como sendo seguro.
Para evitar esse tipo de coisa, marque ou digite o URL https: // diretamente, nunca confie nesse redirecionamento.